浙江農(nóng)林大學(xué)無線覆蓋方案

浙江農(nóng)林大學(xué)校園網(wǎng)無線覆蓋建議技術(shù)方案華三通信技術(shù)有限公司2010年8月目錄TOC\o"1-5"\h\z\o"CurrentDocument"第一章H3C公司簡介 2\o"CurrentDocument"第二章H3CWLAN產(chǎn)品線簡介 4\o"CurrentDocument"第三章無線設(shè)計方案 4\o"CurrentDocument"采用無線技術(shù)的好處 4\o"CurrentDocument"選用無線局域網(wǎng)產(chǎn)品的原則 5\o"CurrentDocument"需求分析 6\o"CurrentDocument"網(wǎng)絡(luò)方案設(shè)計介紹 6\o"CurrentDocument"無線網(wǎng)絡(luò)管理 7\o"CurrentDocument"覆蓋區(qū)域 8\o"CurrentDocument"設(shè)備配置清單 10\o"CurrentDocument"第四章無線局域網(wǎng)安全技術(shù) 11\o"CurrentDocument"、無線局域網(wǎng)的安全威脅 12\o"CurrentDocument"基本的無線局域網(wǎng)安全技術(shù) 12\o"CurrentDocument"無線局域網(wǎng)的安全策略 26\o"CurrentDocument"基于硬件的安全防護(hù) 28\o"CurrentDocument"第五章服務(wù)與培訓(xùn) 287X24X365服務(wù)保障 28\o"CurrentDocument"故障的申報和處理流程 32\o"CurrentDocument"維修和更換服務(wù) 34\o"CurrentDocument"用戶投訴流程 35\o"CurrentDocument"H3C培訓(xùn)I中心 35附:產(chǎn)品資料 .' 41\o"CurrentDocument"H3cs7500E系列髙端多業(yè)務(wù)路由交換機(jī) 41H3CS5120-EI糸列交換機(jī) 48H3CWA2600黨列無線接入點(diǎn) 55\o"CurrentDocument"絡(luò)管理軟件介紹 59第一章H3C公司簡介杭州華三通信技術(shù)有限公司（以下簡稱H3C）成立于2003年11月,運(yùn)營總部設(shè)在杭州。2006年,H3c銷售收入7.12億美元,連續(xù)三年保持70%左右的同比增長。在全國34個省市設(shè)有分支機(jī)構(gòu)。目前公司有員エ近5000人,其中研發(fā)人員占51%。H3C專注于基于!P技術(shù)的網(wǎng)絡(luò)設(shè)備與應(yīng)用的研究、開發(fā)、生產(chǎn)、銷售及服務(wù)。H3c不但擁有全線路由器和以太網(wǎng)交換機(jī)產(chǎn)品,還在網(wǎng)絡(luò)安全、IP存儲、IP監(jiān)控、語音視訊、WLAN、SOHO及軟件管理系統(tǒng)等領(lǐng)域穩(wěn)健成長。目前,安全產(chǎn)品中國市場份額位居前三,IP存儲亞太市場份額第一,IP監(jiān)控技術(shù)全球領(lǐng)先,WLAN產(chǎn)品在國內(nèi)運(yùn)營商累計出貨量第一，H3C已經(jīng)從單ー網(wǎng)絡(luò)設(shè)備供應(yīng)商轉(zhuǎn)變?yōu)槎喈a(chǎn)品IToIP解決方案供應(yīng)商。H3c每年將銷售額的15%以上用于研發(fā)投入,在中國的北京、杭州、深圳以及印度的班加羅爾設(shè)有研發(fā)機(jī)構(gòu),在北京和杭州設(shè)有產(chǎn)品鑒定測試中心。目前,H3C已申請專利超過700件,其中80%是發(fā)明專利。根植中國,H3c廣泛服務(wù)于黨政、公檢法、財稅、教育、金融、電カ、能源、交通、水利、運(yùn)營商、制造業(yè)、公共事業(yè)、中小企業(yè)等用戶。服務(wù)全球,H3c通過與3com、華為、西門子、NEC等公司合作拓展國際市場，目前,H3c的產(chǎn)品和解決方案已經(jīng)覆蓋全球90多個國家和地區(qū)。寬帶化、移動化、IP化已經(jīng)成為下一代公眾運(yùn)營網(wǎng)絡(luò)的代名詞,作為一種靈活的寬帶無線IP接入方式,WLAN借助于接入速率高、架構(gòu)使用便捷、系統(tǒng)費(fèi)用低廉及可擴(kuò)展性較好等優(yōu)點(diǎn),應(yīng)用日趨廣泛,成為近些年來全球通信領(lǐng)域的亮點(diǎn)之一。據(jù)!DC等機(jī)構(gòu)的調(diào)查數(shù)據(jù)顯示,2006年全球WLAN市場以極快的速度增長,市場價值達(dá)50億美元。2006年前三季度中國WLAN設(shè)備出貨量達(dá)到6242萬美元,未來幾年中國WLAN市場仍將保持40%左右的增長速度基于對運(yùn)營網(wǎng)絡(luò)的理解和積累,在中國電信、中國網(wǎng)通、中國移動、中國聯(lián)通等電信運(yùn)營網(wǎng)絡(luò)廣泛應(yīng)用的基礎(chǔ)上,H3c運(yùn)營商WLAN解決方案已成功應(yīng)用于江蘇電信、北京網(wǎng)通、天津網(wǎng)通、云南電信、湖北電信、江西電信、北京聯(lián)通、吉林聯(lián)通、上海移動、黑龍江移動等電信運(yùn)營商。為數(shù)百萬級的用戶提供寬帶無線接入服務(wù)。

典型成功案例序號項目名稱所屬領(lǐng)域相關(guān)產(chǎn)品1杭州網(wǎng)通EPON項目運(yùn)營商H3c交換機(jī)、EPON設(shè)備2杭州網(wǎng)通無線城市運(yùn)營商H3c無線控制器、FITAP2浙江省質(zhì)量技術(shù)監(jiān)督局政府綜合布線3杭州卷煙廠企業(yè)CISCO交換機(jī)、路由器、防火墻4浙江省出入境檢驗檢疫局政府H3C防火墻5杭州仁文學(xué)校教育城市熱點(diǎn)計費(fèi)系統(tǒng)、DLINK交換機(jī)、H3C交換機(jī)6浙江瑞福通銀科技發(fā)展有限公司金融H3c路由器、交換機(jī)、JUNIPER防火墻7浙江省委黨校教育H3CEAD端點(diǎn)準(zhǔn)入防御系統(tǒng)部署8溫州規(guī)劃局政府H3CEAD端點(diǎn)準(zhǔn)入防御系統(tǒng)部署9嘉善行政管理執(zhí)法局政府H3c交換機(jī)、防火墻10臺州黃巖檢察院政府H3C防火墻11杭州農(nóng)副產(chǎn)品物流中心企業(yè)H3C交換機(jī)12杭州市果品市場企業(yè)H3c交換機(jī)、路由器13上海浦東發(fā)展銀行杭州分公司金融H3c交換機(jī)、CISCO路由器14杭州聯(lián)發(fā)纖維臺企JUNIPER防火墻15長江印染企業(yè)H3C無線網(wǎng)絡(luò)產(chǎn)品16濱江藍(lán)山咖啡企業(yè)H3C無線網(wǎng)絡(luò)產(chǎn)品……第二章H3CWLAN產(chǎn)品線簡介H3C自2003年公司成立以來就定位于為運(yùn)營商提供可運(yùn)營、可管理的WLAN設(shè)備和解決方案,H3c公司每ー款A(yù)P設(shè)備都兼有電信級的穩(wěn)定性和企業(yè)級的靈活性,具備更強(qiáng)的競爭力。目前,H3C成立了200多人的WLAN研發(fā)團(tuán)隊,緊跟前沿技術(shù),快速響應(yīng)用戶需求。H3C對WLAN技術(shù)進(jìn)行了深入的研究分析，積極參與國際標(biāo)準(zhǔn)組織的相關(guān)交流,同時H3c也針對802.11的各個工作組進(jìn)行積極的溝通交流，提出自己的理解與建議,聯(lián)合業(yè)界的合作伙伴共同推動標(biāo)準(zhǔn)進(jìn)程,目前已經(jīng)擁有100多項專利技術(shù)。作為全球領(lǐng)先的網(wǎng)絡(luò)設(shè)備和解決方案供應(yīng)商，H3c推行的統(tǒng)ー無線網(wǎng)絡(luò),基于有線、無線一體化解決方案的理念,為客戶提供FATAP、FITAP、WirelessSwitches,MESH、網(wǎng)橋等全系列無線產(chǎn)品。第三章無線設(shè)計方案采用無線技術(shù)的好處無線局域網(wǎng),也被稱為WLAN(WirelessLAN),一般用于寬帶家庭,大樓內(nèi)部以及園區(qū)內(nèi)部,典型距離覆蓋幾十米至幾百米,目前采用的技術(shù)主要是802.lla/b/g系列。WLAN利用無線技術(shù)在空中傳輸數(shù)據(jù)、話音和視頻信,作為傳統(tǒng)布線網(wǎng)絡(luò)的ー種替代方案或延伸,無線局域網(wǎng)把個人從辦公桌邊解放了出來,使他們可以隨時隨地獲取信息,提高了員エ的辦公效率。一般而言,對比于傳統(tǒng)的有線網(wǎng)絡(luò),無線局域網(wǎng)的應(yīng)用價值體現(xiàn)在:可移動性:由于沒有線纜的限制,用戶可以在不同的地方移動工作,網(wǎng)絡(luò)用戶不管在任何地方都可以實時地訪問信息。-布線容易：由于不需要布線，消除了穿墻或過天花板布線的繁瑣工作，因此安裝容易,建網(wǎng)時間可大大縮短。-組網(wǎng)靈活:無線局域網(wǎng)可以組成多種拓?fù)浣Y(jié)構(gòu),可以十分容易地從少數(shù)用戶的點(diǎn)對點(diǎn)模式擴(kuò)展到上千用戶的基礎(chǔ)架構(gòu)網(wǎng)絡(luò)成本優(yōu)勢:這種優(yōu)勢體現(xiàn)在用戶網(wǎng)絡(luò)需要租用大量的電信專線進(jìn)行通信的時候,自行組建的WLAN會為用戶節(jié)約大量的租用費(fèi)用。在需要頻繁移動和變化的動態(tài)環(huán)境中,無線局域網(wǎng)的投資更有回報。無線時代正在來臨,這意味著可以在任何便于工作的地方,如在學(xué)校、醫(yī)院、自助餐廳、企業(yè)、政府機(jī)構(gòu)等辦公室、會議室、醫(yī)療室、圖書館、實驗室、以及在野外的野餐桌旁,享受工作的自由和靈活性。無線網(wǎng)絡(luò)正在成為每個企業(yè)、單位、機(jī)構(gòu),根本的、必備的合作工具。無線局域網(wǎng)技術(shù)的新發(fā)展表現(xiàn)為更高的速度、更好的互操作性以及安全性。無線局域網(wǎng)具有的高靈活性和可靠性,可以立竿見影地提高生產(chǎn)率，在各行業(yè)的廣泛應(yīng)用取得了引人矚目的成果,展示了極為廣闊的市場前景，它將創(chuàng)造嶄新的生活和工作風(fēng)尚。選用無線局域網(wǎng)產(chǎn)品的原則根據(jù)網(wǎng)絡(luò)具體情況，在網(wǎng)絡(luò)設(shè)計中遵循下列原則:先進(jìn)性原則采用先進(jìn)的設(shè)計思想,先進(jìn)的網(wǎng)絡(luò)設(shè)備,使網(wǎng)絡(luò)在今后一定時期內(nèi)保持技術(shù)上的先進(jìn)性。開放性原則網(wǎng)絡(luò)設(shè)計及網(wǎng)絡(luò)設(shè)備選型遵從國際標(biāo)準(zhǔn)及工業(yè)標(biāo)準(zhǔn),使網(wǎng)絡(luò)具有高度的開放性和所提供設(shè)備在技術(shù)上的兼容性?？缮煺剐栽瓌t網(wǎng)絡(luò)設(shè)計在充分考慮當(dāng)前情況的同時,必須考慮到今后較長時期內(nèi)業(yè)務(wù)發(fā)展的需要,留有充分的升級和擴(kuò)充的可能性。充分利用現(xiàn)有通訊資源,為以后擴(kuò)充到更高速率提供充分的余地。另ー方面,還必須為網(wǎng)絡(luò)規(guī)模的擴(kuò)展留有充分的余地。安全性原則網(wǎng)絡(luò)系統(tǒng)的設(shè)計必須貫徹安全性原則，以防止來自網(wǎng)絡(luò)內(nèi)部和外部的各種破壞。貫徹安全性原則體現(xiàn)在以下方面:?設(shè)備采用的是擴(kuò)頻技術(shù);?提供了無線數(shù)據(jù)傳輸?shù)募用??用戶可以通過設(shè)置自己的AP或另加獨(dú)立加密設(shè)備實現(xiàn)更高的安全性;華三通信技術(shù)有限公司 5網(wǎng)絡(luò)內(nèi)部對資源訪問的授權(quán)、認(rèn)證、控制以及審計等安全措施:防止網(wǎng)絡(luò)內(nèi)部的用戶對網(wǎng)絡(luò)資源的非法訪問和破壞?？煽啃栽瓌t網(wǎng)絡(luò)系統(tǒng)的設(shè)計必須貫徹可靠性原則,使網(wǎng)絡(luò)系統(tǒng)具有很高的可用性?？煽啃栽瓌t體現(xiàn)在以下方面:選用技術(shù)先進(jìn)、成熟高可靠性的網(wǎng)絡(luò)設(shè)備;系統(tǒng)增益儲備高;鏈路的可維護(hù)性好。可管理性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的可管理性,使得網(wǎng)絡(luò)管理人員能方便及時地掌握諸如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)性能統(tǒng)計、網(wǎng)絡(luò)故障等信息,能簡便地對網(wǎng)絡(luò)進(jìn)行配置和調(diào)整,確保網(wǎng)絡(luò)工作在良好狀態(tài)。需求分析浙江農(nóng)林大學(xué)此次建設(shè)的無線網(wǎng)絡(luò)將涉及教學(xué)樓、辦公樓、圖書館、實驗室、食堂、宿舍便捷的無線上網(wǎng)環(huán)境的無線覆蓋。通過對教學(xué)樓、辦公樓、圖書館、實驗室、食堂、宿舍等區(qū)域的無線覆蓋,將為學(xué)校教師教學(xué)、辦公、瀏覽互聯(lián)網(wǎng)提供隨時隨地的無盲點(diǎn)強(qiáng)度高的無線信號覆蓋,并設(shè)計提供安全.高速的無線訪問接入。學(xué)校今后所有的教師將可以通過電腦無線聯(lián)網(wǎng)教學(xué),為防止非學(xué)校工作人員擅自接入校園無線網(wǎng)絡(luò)，需要利用web認(rèn)證來驗證接入無線網(wǎng)絡(luò)人員身份的合法性。網(wǎng)絡(luò)方案設(shè)計介紹經(jīng)過上面的網(wǎng)絡(luò)現(xiàn)狀描述和需求分析,我們可以在下面的篇幅中進(jìn)行詳細(xì)的無線網(wǎng)絡(luò)方案的設(shè)計，方案描述將分為兩部分內(nèi)容:1）無線局域網(wǎng)設(shè)計與實施部分;2）無線局域網(wǎng)安全部分;并且給出無線網(wǎng)絡(luò)配置的設(shè)備的詳細(xì)描述。

下面是本次學(xué)校內(nèi)部無線網(wǎng)絡(luò)覆蓋的網(wǎng)絡(luò)拓?fù)鋱D:浙江農(nóng)林大學(xué)無線網(wǎng)絡(luò)拓?fù)鋱D云、出口路由器千兆電 千兆光 衣錦校區(qū)核心交換機(jī)LS-7506E核心交換機(jī)LS-7506E東湖校區(qū)IMC網(wǎng)管平臺錢強(qiáng)人交換よLS-51/0-28C-PWR-E教學(xué)區(qū)教學(xué)區(qū)千兆電 千兆光 衣錦校區(qū)核心交換機(jī)LS-7506E核心交換機(jī)LS-7506E東湖校區(qū)IMC網(wǎng)管平臺錢強(qiáng)人交換よLS-51/0-28C-PWR-E教學(xué)區(qū)教學(xué)區(qū)夢交換機(jī)ノLS-5M52C-PW?<E區(qū)接入交郵LS-5120-52C-PWR-E如上示意圖,我們在衣錦校區(qū)和東湖校區(qū)各放置一臺7506E交換機(jī)作為核心交換機(jī),每座樓房放置一臺POE接入交換機(jī),每個樓層放置若干臺AP,以達(dá)到對整個校園內(nèi)部區(qū)域的無線覆蓋,滿足現(xiàn)代化教學(xué)和學(xué)生生活中對無線的需求。整體無線局域網(wǎng)采用的是無線控制器+WA2620-AGP組合方式。無線控制器采用在核心交換機(jī)配置無線插卡來實現(xiàn),以實現(xiàn)對所有AP的統(tǒng)一管理。校園網(wǎng)出口路由器采用SR6602萬兆路由器，可滿足同時和教育網(wǎng)及互聯(lián)網(wǎng)互聯(lián)的需求，并設(shè)計電信和網(wǎng)通雙WAN口出口,為浙江農(nóng)林大學(xué)提供快速穩(wěn)定、豐富接口接入的同時，同時在出口處增加入侵防御IPS設(shè)備，也為學(xué)校網(wǎng)絡(luò)的安全提供了強(qiáng)有力的保障。無線網(wǎng)絡(luò)管理無線網(wǎng)絡(luò)基礎(chǔ)平臺搭建完畢后,接下來考慮的重點(diǎn)是無線網(wǎng)絡(luò)的管理。我們的無線

方案已經(jīng)做到無線AP零配置,無線控制器統(tǒng)一下發(fā)配置和版本,減輕了無線網(wǎng)絡(luò)維護(hù)量和降低了無線網(wǎng)絡(luò)的配置難度。網(wǎng)絡(luò)管理平臺采用H3C的IMC平臺,配置wlan無線管理組件和用戶接入控制組件（UAM）,輕松實現(xiàn)無線網(wǎng)絡(luò)管理的中文WEB界面圖形化操作和無線終端接入網(wǎng)絡(luò)網(wǎng)絡(luò)的身份驗證。上網(wǎng)用戶接入無線網(wǎng)絡(luò)后打開IE瀏覽器,輸入網(wǎng)站后頁面會被強(qiáng)制重定向到web認(rèn)證頁面,輸入合法的帳號和密碼通過身份驗證后即可瀏覽網(wǎng)頁。學(xué)校的教學(xué)辦公無線終端可以使用MAC認(rèn)證方式來減少驗證步驟。覆蓋區(qū)域現(xiàn)階段可提供的2.4G電磁波對于各種建筑材質(zhì)的穿透損耗的經(jīng)驗值如下:＞隔墻的阻擋（磚墻厚度100-300mm）：20-40dB；＞樓層的阻擋:30dB以上;＞木制家具、門和其它木板隔墻阻擋2T5dB；＞厚玻璃（12mm）：10dB（2450MHz）AP信號穿透公式如下:AP發(fā)射功率+發(fā)射天線功率一路徑衰耗ー障礙物衰耗＞網(wǎng)卡接收靈敏度網(wǎng)卡發(fā)射功率+AP天線接收功率一路徑衰耗ー障礙物衰耗＞AP接受靈敏度由于AP2750的發(fā)射功率為19dBm（包括自帶天線）,可靠接收信號強(qiáng)度約ー80dBm（接受速率為24M）。普通網(wǎng)卡客戶端的發(fā)射功率為17dBm,網(wǎng)卡的接口靈敏度為ー75dBm;路徑衰減為70dBm（傳播路徑10米,衰減因子模型）AP—＞網(wǎng)卡:障礙物衰耗=19-70—（-75）=24dBm網(wǎng)卡ー〉A(chǔ)P：障礙物衰耗=17—70—（-80）=27dBm結(jié)論：根據(jù)介質(zhì)穿透損耗可以得出:AP2750差不多可以穿透ー堵墻,兩道門,兩道玻璃;另外,在衡量墻壁等對于AP信號的穿透損耗時,需考慮AP信號入射角度。一面0.5米厚的墻壁，當(dāng)AP信號和覆蓋區(qū)域之間直線連接呈45度角入射時，相當(dāng)于1米厚的墻壁;在2度角時相當(dāng)于超過14米厚的墻壁。所以要獲取更好的接受效果應(yīng)盡量使AP信號能夠垂直的穿過（90度角）墻壁或天花板。因此，根據(jù)建筑實際特點(diǎn)的工程勘測和項目具體實施經(jīng)驗,走廊中每隔約12~15米左右布置1臺AP可以保證兩邊房間的良好覆蓋,保證整層樓無盲區(qū),可保證無線傳輸效果良好。

設(shè)備配置清單序號產(chǎn)品型號產(chǎn)品描述數(shù)量H3CMSR50系列路由器1RT-SR6602-AC-H3H3CSR66021U髙度路由器主機(jī)(100-240VAC,4GE/2HIMslot)12SFP-GE-LX-SM13I0-A光模塊-SFP-GEー單模模塊ー(1310nm,lOkm.LC)2入侵防御設(shè)備3NS-DPtechIPS2OOO-GC+1YDPtechIPS2000-GC主機(jī)(4GE電ロ+2SLOT)ー含一年特征庫升級,一年病毒庫升級14SFP-GE-SX-MM850-A光模塊-SFP-GE-多模模塊ー(850nm,0.55km,LC)25SFP-GE-LX-SM13I0-A光模塊-SFP-GEー單模模塊ー(1310nm,10km,LC)2核心交換機(jī)6LS-7506EH3CS7506E以太網(wǎng)交換機(jī)主機(jī)27LSQM1AC1400H3CS7500E交流電源模塊,1400W48LSQM1SRPB0H3CS7500ESalienceVI交換路由引擎49LSQM1GP48SC0H3CS7500E48端ロ千兆/百兆以太網(wǎng)光接口模塊(SFP,LC)210LSQMIWCMB0S7500E無線控制器業(yè)務(wù)板模塊211LSQM1FWBSCOH3CS7500E防火墻業(yè)務(wù)板模塊212SFP-GE-LX-SM131O-A光模塊-SFP-GEー單模模塊ー(131Onm,10km,LC)50接入交換機(jī)13LS-5120-28C-PWR-EI-H3H3CS5120-28C-PWR-EI?以太網(wǎng)交換機(jī)主機(jī)(24GE+4SFPCombo+2Slot4-POE)5414SFP-GE-SX-MM850-A光模塊-SFP-GE-多模模塊ー(850nm,0.55km,LC)48

無線AP15EWP-WA2620-AGN-FITH3CWA2620-AGN802.1In無線局域網(wǎng)室內(nèi)型2.4/5GH雙頻接入點(diǎn)-FIT40016EWP-WA2610X-GNP-FITH3CWA2610X-GNP-802.11n無線局域網(wǎng)室外型2.4GHz單頻高功率接入點(diǎn),FIT50網(wǎng)管軟件18SWP-IMC-IMPWN-CNH3CiMC一智能管理平臺標(biāo)準(zhǔn)版(不含節(jié)點(diǎn))ー純軟件(DVD)中文版119LIS-IMC-IMPC-CN-200H3CiMC一智能管理平臺標(biāo)準(zhǔn)版license費(fèi)用一管理200節(jié)點(diǎn)120SWP-IMC-WSMW-CNH3CiMC-無線業(yè)務(wù)管理組件ー純軟件(CD)中文版121L1S-IMC-WSME-CN-1KH3CiMC-無線業(yè)務(wù)管理組件!icense費(fèi)用一管理1000臺FitAP設(shè)備122SWP-IMC-UAMN-CNH3CiMC-用戶接入管理組件(不含認(rèn)證用戶)ー純軟件(CD)中文版123LIS-IMC-UAMB-CN-2KH3CiMC-用戶接入管理組件License費(fèi)用一管理2000認(rèn)證用戶1第四章無線局域網(wǎng)安全技術(shù)無線局域網(wǎng)(WLAN)具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約、易于擴(kuò)展等有線網(wǎng)絡(luò)無法比擬的優(yōu)點(diǎn),因此無線局域網(wǎng)得到越來越廣泛的使用。但是由于無線局域網(wǎng)信道開放的特點(diǎn),使得攻擊者能夠很容易的進(jìn)行竊聽,惡意修改并轉(zhuǎn)發(fā),因此安全性成為阻礙無線局域網(wǎng)發(fā)展的最重要因素。雖然ー方面對無線局域網(wǎng)需求不斷增長，但同時也讓許多潛在的用戶對不能夠得到可靠的安全保護(hù)而對最終是否采用無線局域網(wǎng)系統(tǒng)猶豫不決。就目前而言,有很多種無線局域網(wǎng)的安全技術(shù)，包括物理地址(MAC)過濾、服務(wù)區(qū)標(biāo)識符(SSID)匹配、有線對等保密(WEP)、端口訪問控制技術(shù)(IEEE802.1X)、WPA(Wi-FiProtectedAccess)、IEEE802.1li等。面對如此多的安全技術(shù),應(yīng)該選擇哪些技術(shù)來解決無線局域網(wǎng)的安全問題，才能滿足用戶對安全性的要求。、無線局域網(wǎng)的安全威脅利用WLAN進(jìn)行通信必須具有較高的通信保密能力。對于現(xiàn)有的WLAN產(chǎn)品,它的安全隱患主要有以下幾點(diǎn):未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)由于無線局域網(wǎng)的開放式訪問方式,非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源,不僅會占用寶貴的無線信道資源,增加帶寬費(fèi)用，降低合法用戶的服務(wù)質(zhì)量,而且未經(jīng)授權(quán)的用戶沒有遵守運(yùn)營商提出的服務(wù)條款，甚至可能導(dǎo)致法律糾紛。地址欺騙和會話攔截（中間人攻擊）在無線環(huán)境中,非法用戶通過偵聽等手段獲得網(wǎng)絡(luò)中合法站點(diǎn)的MAC地址比有線環(huán)境中要容易得多,這些合法的MAC地址可以被用來進(jìn)行惡意攻擊。另外,由于IEEE802.11沒有對AP身份進(jìn)行認(rèn)證，非法用戶很容易裝扮成AP進(jìn)入網(wǎng)絡(luò)，并進(jìn)ー步獲取合法用戶的鑒別身份信息，通過會話攔截實現(xiàn)網(wǎng)絡(luò)入侵。高級入侵（企業(yè)網(wǎng)）一旦攻擊者進(jìn)入無線網(wǎng)絡(luò),它將成為進(jìn)ー步入侵其他系統(tǒng)的起點(diǎn)。多數(shù)企業(yè)部署的WLAN都在防火墻之后,這樣WLAN的安全隱患就會成為整個安全系統(tǒng)的漏洞,只要攻破無線網(wǎng)絡(luò)，就會使整個網(wǎng)絡(luò)暴露在非法用戶面前?；镜臒o線局域網(wǎng)安全技術(shù)通常網(wǎng)絡(luò)的安全性主要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個方面。訪問控制保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問,而數(shù)據(jù)加密則保證發(fā)送的數(shù)據(jù)只能被所期望的用戶所接收和理解。下面對在無線局域網(wǎng)中常用的安全技術(shù)進(jìn)行簡介。物理地址（MAC）過濾每個無線客戶端網(wǎng)卡都由唯一的48位物理地址（MAC）標(biāo)識,可在AP中手工維華三通信技術(shù)有限公司 12護(hù)ー組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這種方法的效率會隨著終端數(shù)目的增加而降低,而且非法用戶通過網(wǎng)絡(luò)偵聽就可獲得合法的MAC地址表,而MAC地址并不難修改,因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。MAC:000FE201EC5D圖1MAC地址過濾服務(wù)區(qū)標(biāo)識符（SSID）匹配無線客戶端必需設(shè)置與無線訪問點(diǎn)AP相同的SSID,才能訪問AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。利用SSID設(shè)置,可以很好地進(jìn)行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題?？梢酝ㄟ^設(shè)置隱藏接入點(diǎn)（AP）及SSID區(qū)域的劃分和權(quán)限控制來達(dá)到保密的目的,因此可以認(rèn)為SSID是ー個簡單的口令,通過提供口令認(rèn)證機(jī)制,實現(xiàn)一定的安全。

圖2服務(wù)區(qū)標(biāo)識匹配有線對等保密（WEP）在IEEE802.11中,定義了WEP來對無線傳送的數(shù)據(jù)進(jìn)行加密,WEP的核心是采用的RC4算法。在標(biāo)準(zhǔn)中,加密密鑰長度有64位和128位兩種。其中有24Bit的IV是由系統(tǒng)產(chǎn)生的，需要在AP和Station上配置的密鑰就只有40位或104位。WEP加密原理圖如下:Message圖3WEP加密原理圖1、AP先產(chǎn)生一個IV,將其同密鑰串接（IV在前）作為WEPSeed,采用RC4算法生成和待加密數(shù)據(jù)等長（長度為MPDU長度加上ICV的長度）的密鑰序列;2、計算待加密的MPDU數(shù)據(jù)校驗值ICV,將其串接在MPDU之后;3、將上述兩步的結(jié)果按位異或生成加密數(shù)據(jù);4、加密數(shù)據(jù)前面有四個字節(jié),存放IV和KeyID,IV占前三個字節(jié),KeyID在第

四字節(jié)的高兩位,其余的位置〇;如果使用Key-mappingKey,則KeyID為〇,如果使用DefaultKey,則KeyID為密鑰索引（0—3其中之一）。加密后的輸出如下圖所示。Encrypted(Note)IV4Data(PDU)>1ICV4丁.,ぐi*smOctetsInit.Vector31〇tetIV4bMIDハ*N0TE:theenc^hermenipxo(e?hoexpandedthecxifinalMPDUby$Octets,4fortheIratialiiatimVector(IV)fieldind4fortheIntegrityCheckValue(ICV)."DieICVifcalculatedondieDatafieldonly圖4WEP加密后的MPDU格式加密前的數(shù)據(jù)幀格式示意如下:MACHeaderData(PDU)FCS加密后的數(shù)據(jù)幀格式示意如下:MACHeaderIVData(PDU)ICVFCSWEP解密原理圖如下:MesMgo圖5WEP解密原理圖1、找到解密密鑰;2、將密鑰和IV串接（IV在前）作為RC4算法的輸入生成和待解密數(shù)據(jù)等長的密鑰序列;3、將密鑰序列和待解密數(shù)據(jù)按位異或,最后4個字節(jié)是ICV,前面是數(shù)據(jù)明文;4、對數(shù)據(jù)明文計算校驗值ICVT并和K2V比較,如果相同則解密成功,否則丟棄該數(shù)據(jù)。連線對等保密WEP協(xié)議是IEEE802.il標(biāo)準(zhǔn)中提出的認(rèn)證加密方法。它使用RC4流密碼來保證數(shù)據(jù)的保密性,通過共享密鑰來實現(xiàn)認(rèn)證,理論上增加了網(wǎng)絡(luò)偵聽,會話截獲等的攻擊難度。由于其使用固定的加密密鑰和過短的初始向量，加上無線局域網(wǎng)的通信速度非常高,該方法已被證實存在嚴(yán)重的安全漏洞,在15分鐘內(nèi)就可被攻破?，F(xiàn)在已有專門的自由攻擊軟件（如airsnort）。而且這些安全漏洞和WEP對加密算法的使用機(jī)制有關(guān),即使增加密鑰長度也不可能增加安全性。另外，WEP缺少密鑰管理。用戶的加密密鑰必須與AP的密鑰相同,并且ー個服務(wù)區(qū)內(nèi)的所有用戶都共享同一把密鑰。WEP中沒有規(guī)定共享密鑰的管理方案,通常是手工進(jìn)行配置與維護(hù)。由于同時更換密鑰的費(fèi)時與困難，所以密鑰通常很少更換，倘若一個用戶丟失密鑰,則會殃及到整個網(wǎng)絡(luò)的安全。ICV算法不合適。WEPICV是ー種基于CRC-32的用于檢測傳輸噪音和普通錯誤的算法。CRC-32是信息的線性函數(shù),這意味著攻擊者可以篡改加密信息,并很容易地修改ICVo同時WEP還可以作為一種認(rèn)證方法,認(rèn)證過程如下:.在無線接入點(diǎn)AP和工作站STA關(guān)聯(lián)后,無線接入點(diǎn)AP隨機(jī)產(chǎn)生一個挑戰(zhàn)包,也就是一個字符串,并將挑戰(zhàn)包發(fā)送給工作站STA。.工作站STA接收到挑戰(zhàn)包后,用密鑰加密挑戰(zhàn)包，然后將加密后的密文,發(fā)送回?zé)o線接入點(diǎn)APo.無線接入點(diǎn)也用密鑰將挑戰(zhàn)包加密，然后將自己加密后的密文與工作站STA加密后的密文進(jìn)行比較，如果相同,則認(rèn)為工作站STA合法,允許工作站STA利用網(wǎng)絡(luò)資源；否則,拒絕工作站STA利用網(wǎng)絡(luò)資源。端口訪問控制技術(shù)（IEEE802.1x）和可擴(kuò)展認(rèn)證協(xié)議（EAP）IEEE802.1X并不是專為WLAN設(shè)計的。它是一種基于端口的訪問控制技術(shù)。該技術(shù)也是用于無線局域網(wǎng)的一種增強(qiáng)網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.lx的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為STA打開這個邏輯端口,否則不允許用戶連接網(wǎng)絡(luò)。IEEE802.1X提供無線客戶端與RADIUS服務(wù)器之間的認(rèn)證,而不是客戶端與無線接入點(diǎn)AP之間的認(rèn)證;采用的用戶認(rèn)證信息僅僅是用戶名與口令,在存儲、使用和認(rèn)證信息傳遞中存在很大安全隱患,如泄漏、丟失;無線接入點(diǎn)AP與RADIUS服務(wù)器之間基于共享密鑰完成認(rèn)證過程協(xié)商出的會話密鑰的傳遞,該共享密鑰為靜態(tài),存在ー定的安全隱患。802.lx協(xié)議僅僅關(guān)注端口的打開與關(guān)閉,對于合法用戶（根據(jù)帳號和密碼）接入時，該端口打開,而對于非法用戶接入或沒有用戶接入時,則該端口處于關(guān)閉狀態(tài)。認(rèn)證的結(jié)果在于端口狀態(tài)的改變,而不涉及通常認(rèn)證技術(shù)必須考慮的!P地址協(xié)商和分配問題,是各種認(rèn)證技術(shù)中最簡化的實現(xiàn)方案。圖6802.lx端口控制在802.lx協(xié)議中,只有具備了以下三個元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)?？蛻舳?一般安裝在用戶的工作站上,當(dāng)用戶有上網(wǎng)需求時,激活客戶端程序,輸入必要的用戶名和口令,客戶端程序?qū)统鲞B接請求。認(rèn)證系統(tǒng):在無線網(wǎng)絡(luò)中就是無線接入點(diǎn)AP或者具有無線接入點(diǎn)AP功能的通信設(shè)備。其主要作用是完成用戶認(rèn)證信息的上傳、下達(dá)工作,并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉端口。認(rèn)證服務(wù)器:通過檢驗客戶端發(fā)送來的身份標(biāo)識（用戶名和口令）來判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的服務(wù),并根據(jù)認(rèn)證結(jié)果向認(rèn)證系統(tǒng)發(fā)出打開或保持端口關(guān)閉的狀態(tài)。在具有802.lx認(rèn)證功能的無線網(wǎng)絡(luò)系統(tǒng)中,當(dāng)ー個WLAN用戶需要對網(wǎng)絡(luò)資源進(jìn)行訪問之前必須先要完成以下的認(rèn)證過程。.當(dāng)用戶有網(wǎng)絡(luò)連接需求時打開802.1X客戶端程序,輸入已經(jīng)申請、登記過的用戶名和口令,發(fā)起連接請求。此時,客戶端程序?qū)l(fā)出請求認(rèn)證的報文給AP,開始啟動一次認(rèn)證過程。.AP收到請求認(rèn)證的數(shù)據(jù)幀后,將發(fā)出ー個請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?客戶端程序響應(yīng)AP發(fā)出的請求,將用戶名信息通過數(shù)據(jù)幀送給AP。AP將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。.認(rèn)證服務(wù)器收到AP轉(zhuǎn)發(fā)上來的用戶名信息后,將該信息與數(shù)據(jù)庫中的用戶名表相比對,找到該用戶名對應(yīng)的口令信息,用隨機(jī)生成的一個加密字對它進(jìn)行加密處理,同時也將此加密字傳送給AP,由AP傳給客戶端程序。.客戶端程序收到由AP傳來的加密字后,用該加密字對口令部分進(jìn)行加密處理（此種加密算法通常是不可逆的），并通過AP傳給認(rèn)證服務(wù)器。.認(rèn)證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運(yùn)算后的口令信息進(jìn)行對比,如果相同,則認(rèn)為該用戶為合法用戶,反饋認(rèn)證通過的消息,并向AP發(fā)出打開端口的指令,允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。否則,反饋認(rèn)證失敗的消息,并保持AP端口的關(guān)閉狀態(tài),只允許認(rèn)證信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過。這里要提出的ー個值得注意的地方是:在客戶端與認(rèn)證服務(wù)器交換口令信息的時候,沒有將口令以明文直接送到網(wǎng)絡(luò)上進(jìn)行傳輸,而是對ロ令信息進(jìn)行了不可逆的加密算法處理,使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒂辛烁叩陌踩Ｕ?杜絕了由于下級接入設(shè)備所具有的廣播特性而導(dǎo)致敏感信息泄漏的問題。Supplicant Authenticator Radius80211 RADRSLAssociaHonrequesl.< 2AssociationresponseEAPO1 3;EAPOL-Start ?.. 4:Requesゼ!dentity 5Responseidentity ? 5:Radius-Access-Request .. 6:EAP-Request.6:Radius-AccoChaUenge_.71EAP-R的ponsc . ^Radius-Access-Request .,8:EAP-Succcss.8:Radius-Access-Accept?9:EAPOL-Key(WEP)圖7802.lx認(rèn)證過程WPA(Wi-FiProtectedAccess)WPA=802.1x+EAP+TKIP+MIC在IEEE802.1li標(biāo)準(zhǔn)最終確定前,WPA標(biāo)準(zhǔn)是代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議,為IEEE802.il無線局域網(wǎng)提供更強(qiáng)大的安全性能。WPA是IEEE802.1li的ー個子集,其核心就是IEEE802.1X和TKIP?認(rèn)證在802.1I中幾乎形同虛設(shè)的認(rèn)證階段,到了WPA中變得尤為重要起來，它要求用戶必須提供某種形式的證據(jù)來證明它是合法用戶,并擁有對某些網(wǎng)絡(luò)資源的訪問權(quán)，并且是強(qiáng)制性的。WPA的認(rèn)證分為兩種:第一種采用802.1x+EAP的方式,用戶提供認(rèn)證所需的憑證,如用戶名密碼,通過特定的用戶認(rèn)證服務(wù)器(一般是RADIUS服務(wù)器)來實現(xiàn)。在大型企業(yè)網(wǎng)絡(luò)中,通常采用這種方式。但是對于ー些中小型的企業(yè)網(wǎng)絡(luò)或者家庭用戶，架設(shè)一臺專用的認(rèn)證服務(wù)器未免代價過于昂貴,維護(hù)也很復(fù)雜,因此WPA也提供一種簡化的模式,它不需要專門的認(rèn)證服務(wù)器,這種模式叫做WPA預(yù)共享密鑰(WPA-PSK),僅要求在每個WLAN節(jié)點(diǎn)(AP、無線路由器、網(wǎng)卡等)預(yù)先輸入ー個密鑰即可實現(xiàn)。只要密鑰吻合,客戶就可以獲得WLAN的訪問權(quán)。由于這個密鑰僅僅用于認(rèn)證過程,而不用于加密過程,因此不會導(dǎo)致諸如使用WEP密鑰來進(jìn)行802.1I共享認(rèn)證那樣嚴(yán)重的安全問題。加密WPA采用TKIP為加密引入了新的機(jī)制，它使用ー種密鑰構(gòu)架和管理方法,通過由認(rèn)證服務(wù)器動態(tài)生成分發(fā)的密鑰來取代單個靜態(tài)密鑰、把密鑰首部長度從24位增加到48位等方法增強(qiáng)安全性。而且，TKIP利用了802.1x/EAP構(gòu)架。認(rèn)證服務(wù)器在接受了用戶身份后,使用802.1X產(chǎn)生一個唯一的主密鑰處理會話。然后,TKIP把這個密鑰通過安全通道分發(fā)到AP和客戶端,并建立起一個密鑰構(gòu)架和管理系統(tǒng)，使用主密鑰為用戶會話動態(tài)產(chǎn)生一個唯一的數(shù)據(jù)加密密鑰,來加密每一個無線通信數(shù)據(jù)報文。TKIP的密鑰構(gòu)架使WEP靜態(tài)單ー的密鑰變成了500萬億可用密鑰。雖然WPA采用的還是和WEP一樣的RC4加密算法,但其動態(tài)密鑰的特性很難被攻破。TKIP與WEP一樣基于RC4加密算法,但相比WEP算法,將WEP密鑰的長度由40位加長到128位,初始化向量IV的長度由24位加長到48位,并對現(xiàn)有的WEP進(jìn)行了改進(jìn)，即追加了“每發(fā)ー個包重新生成一個新的密鑰(PerPacketKey)”、“消息完整性檢查(MIC)”、“具有序列功能的初始向量”和“密鑰生成和定期更新功能”四種算法,極大地提高了加密安全強(qiáng)度。標(biāo)準(zhǔn)工作組認(rèn)為:WEP算法的安全漏洞是由于WEP機(jī)制本身引起的,與密鑰的長度無關(guān),即使增加加密密鑰的長度,也不可能增強(qiáng)其安全程度,初始化向量IV長度的增加也只能在有限程度上提高破解難度,比如延長破解信息收集時間，并不能從根本上解決問題。因為作為安全關(guān)鍵的加密部分,TKIP沒有脫離WEP的核心機(jī)制。而且,TKIP甚至更易受攻擊,因為它采用了Kerberos密碼,常常可以用簡單的猜測方法攻破。另ー個嚴(yán)重問題是加/解密處理效率問題沒有得到任何改進(jìn)。Wi-Fi聯(lián)盟和!EEE802委員會也承認(rèn),TKIP只能作為ー種臨時的過渡方案,而IEEE802.1li標(biāo)準(zhǔn)的最終方案是基于IEEE802.1X認(rèn)證的CCMP(CBC-MACProtocol)加密技術(shù)，即以AES(AdvancedEncryptionStandard)為核心算法。它采用CBC-MAC加密模式,具有分組序號的初始向量。CCMP為128位的分組加密算法,相比前面所述的所有算法安全程度更高。消息完整性校驗(MIC),是為了防止攻擊者從中間截獲數(shù)據(jù)報文、篡改后重發(fā)而設(shè)置的。除了和802.11一樣繼續(xù)保留對每個數(shù)據(jù)分段(MPDU)進(jìn)行CRC校驗外,WPA為802.11的每個數(shù)據(jù)分組(MSDU)都增加了一個8個字節(jié)的消息完整性校驗值,這和802.11對每個數(shù)據(jù)分段(MPDU)進(jìn)行ICV校驗的目的不同。ICV的目的是為了保證數(shù)據(jù)在傳輸途中不會因為噪聲等物理因素導(dǎo)致報文出錯,因此采用相對簡單高效的CRC算法,但是黑客可以通過修改ICV值來使之和被篡改過的報文相吻合，可以說沒有任何安全的功能。而WPA中的MIC則是為了防止黑客的篡改而定制的,它采用Michae!算法,具有很高的安全特性。當(dāng)MIC發(fā)生錯誤的時候，數(shù)據(jù)很可能己經(jīng)被篡改，系統(tǒng)很可能正在受到攻擊。此時,WPA還會采取ー系列的對策，比如立刻更換組密鑰、暫停活動60秒等,來阻止黑客的攻擊。IEEE802.11i為了進(jìn)ー步加強(qiáng)無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容,IEEE802.il工作組開發(fā)了作為新的安全標(biāo)準(zhǔn)的IEEE802.11i,并且致カ于從長遠(yuǎn)角度考慮解決IEEE802.11無線局域網(wǎng)的安全問題」EEE802.1li標(biāo)準(zhǔn)中主要包含加密技術(shù):TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard)?以及認(rèn)證協(xié)議:IEEE802.IX〇IEEE802.1li標(biāo)準(zhǔn)已在2004年6月24美國新澤西的IEEE標(biāo)準(zhǔn)會議上正式獲得批準(zhǔn)。802.1li與WPA相比增加了一些特性:AES:更好的加密算法,但是無法與原有的802.11架構(gòu)兼容,需要硬件升級。CCMPandWARP:以AES為基礎(chǔ)。IBSS:802.Hi解決IBSS(IndependentBasicServiceSet),而WPA主要處理ESS(ExtendedServiceSet)Preauthentication：用于用戶在不同的BSS(BasicServiceSet)間漫游時,減少重新連接的時間延遲。認(rèn)證:lli的安全體系也使用802.1x認(rèn)證機(jī)制,通過無線客戶端與radius服務(wù)器之間動態(tài)協(xié)商生成PMK(PairwiseMasterKey),再由無線客戶端和AP之間在這個PMK的基礎(chǔ)上經(jīng)過4次握手協(xié)商出單播密鑰以及通過兩次握手協(xié)商出組播密鑰，每ー個無線客戶端與AP之間通訊的加密密鑰都不相同,而且會定期更新密鑰,很大程度上保證了通訊的安全,其協(xié)商流程圖如下:

圖8單播和組播密鑰協(xié)商過程上面圖中的ptk與gtk即單播和組播加解密使用的密鑰。CCMP加密:ccmp提供了加密,認(rèn)證,完整性和重放保護(hù)。ccmp是基于ccm方式的,該方式使用了AES(AdvancedEncryptionStandard)加密算法。CCM方式結(jié)合了用于加密的CounterMode(CTR)和用于認(rèn)證和完整性的加密塊鏈接消息認(rèn)證碼(CBC-MAC、CiphyBlockChaingMessageAutenticationCode)〇CCM保護(hù)MPDU數(shù)據(jù)和IEEE802.11MPDU幀頭部分域的完整性。AES定義在FIPSPUB197o所有的在ccmp中用到的AES處理都使用ー個128位的密鑰和一個128位大小的數(shù)據(jù)塊。CCM方式定義在RFC3610oCCM是ー個通用模式,它可以用于任意面向塊的加密算法。CCM有兩個參數(shù)（M和L）,CCMP使用以下值作為CCM參數(shù):—M=8:表示MIC是8個字節(jié)。—L=2；表示域長度位2個字節(jié)。這有助于保持IEEE802.11MPDU的最大長度。針對每個會話,CCM需要有一個全新的臨時密鑰。CCM也要求用給定的臨時密鑰保護(hù)的每幀數(shù)據(jù)有唯一的nonce值。CCM是用ー個48位PN來實現(xiàn)的。對于同樣的臨時密鑰可以重用PN,這可以減少很多保證安全的工作。CCMP處理用16個字節(jié)擴(kuò)展了原來MPDU大小,其中8個為CCMP幀頭,8個為MIC效驗碼。CCMP幀頭由PN,ExtIV和KeyID域組成。PN是ー個48位的數(shù)字,是ー個6字節(jié)的數(shù)組。PN5是PN的最高字節(jié),PN0是最低字節(jié)。值得注意的是CCMP不使用WEPICV。EncryptM >My10ocW(圖9CCMPMPDU擴(kuò)展KeyID字節(jié)的第五位,ExtIV域,表示CCMP擴(kuò)展幀頭8個字節(jié)。如果是使用CCMP加密,則ExtIV位的值總是為!oKeyID字節(jié)的第六第七位是為KeyID準(zhǔn)備的。保留的各個位值為0,而且在接收的時候被忽略掉。檢查重放的規(guī)則如下:1）PN值連續(xù)計算每一個MPDUo2）每個發(fā)送者都應(yīng)為每個PTKSA.GTKSA和STAkeySA維護(hù)ー個PN（48位的計數(shù)器）。3）PN是ー個48位的單調(diào)遞增正整數(shù),在相應(yīng)的臨時密鑰被初始化或刷新的時候,它也被初始化為1。4）接收者應(yīng)該為每個PTKSA,GTKSA和STAKeySA維護(hù)ー組單獨(dú)的PN重放計數(shù)器。接收者在將臨時密鑰復(fù)位的時候,會將這些計數(shù)器置〇。重放計數(shù)器被設(shè)置為可接收的CCMPMPDU的PN值。5）接收者為每個PTKSA,GTKSA和STAKeySA維護(hù)ー個獨(dú)立的針對!EEE802.11MSDU優(yōu)先級的重放計數(shù)器，并且從接收到的幀獲取PN來檢查被重放的幀。這是在重放計數(shù)器的數(shù)目時,不使用IEEE802.ilMSDU優(yōu)先級。發(fā)送者不會在重放計數(shù)器內(nèi)重排幀,但可能會在計數(shù)器外重排幀。IEEE802.ilMSDU優(yōu)先級是重排的一個可能的原因。6）如果MPDU的PN值不連續(xù),則它所在的MSDU整個都會被接收者拋棄。接收者同樣會拋棄任何PN值小于或者等于重放計數(shù)器值的MPDU,同時增加ccmp的重放計數(shù)的值。CCMP加密過程如下圖:CCMP加密步驟如下:1）增加PN值，為每個MPDU產(chǎn)生一個新的PN,這樣對于同一個臨時密鑰TK永遠(yuǎn)不會有重復(fù)的PNo需要注意的是被中轉(zhuǎn)的MPDUs在中轉(zhuǎn)過程中是不能被修改的;MPDU幀頭的各個域用于生成CCM方式所需的AdditionalAuthenticationData（AAD）〇CCM運(yùn)算對這些包含在AAD的域提供了完整性保護(hù)。在傳輸過程中可能改變的MPDU頭部各個域在計算AAD的時候被置0；CCMNonce塊是從PN,A2（MPDU地址2）和優(yōu)先級構(gòu)造而來。優(yōu)先級作為保留值設(shè)為0；4）將新的PN和KeyID置入8字節(jié)的CCMP頭部;CCM最初的處理使用臨時密鑰TK,AAD,Nonce和MPDU數(shù)據(jù)組成密文和MIC；6）加密后的MPDU由最初的MPDU幀頭,CCMP頭部,加密過的數(shù)據(jù)和MIC組成。當(dāng)AP從STA接收到802.11數(shù)據(jù)幀時,滿足以下條件則進(jìn)行CCMP解密;WPA/802.11iSTA協(xié)商使用CCMP加密;Tempkey已經(jīng)協(xié)商并安裝完成。解密過程:圖11CCMP解密過程圖1）解析加密過的MPDU,創(chuàng)建AAD和Nonce值；2）AAD是由加密過的MPDU頭部形成的；Nonce值是根據(jù)A2,PN和優(yōu)先級字節(jié)（保留，各位置〇）創(chuàng)建而來；4）提取MIC對CCM進(jìn)行完整性校驗；5）CCM接收過程使用臨時密鑰,AAD,Nonce,MIC和MPDU加密數(shù)據(jù)來解密得到明文,同時對AAD和MPDU明文進(jìn)行完整性校驗；6）從CCM接收過程收到的MPDU頭部和MPDU明文數(shù)據(jù)連接起來組成一個未加密的MPDU；7）解密過程防止了MPDUs的重放，這種重放通過確認(rèn)MPDU里的PN值比包含在會話里的重放計數(shù)器大來實現(xiàn),接著進(jìn)行檢查重放,解密失敗的幀直接丟棄。華三通信技術(shù)有限公司 25相比前面的安全方法,IEEE802.1li具有以下ー些技術(shù)優(yōu)勢:在WLAN底層引入AES算法,即加密和解密一般由硬件完成,克服WEP的缺陷,有線對等保密(WEP)協(xié)議的缺陷延緩了無線局域網(wǎng)(WLAN)在許多企業(yè)內(nèi)的應(yīng)用和普及。無線局域網(wǎng)網(wǎng)絡(luò)會暴露某個網(wǎng)絡(luò)，因此，從安全的角度來講,不能像核心企業(yè)網(wǎng)絡(luò)而必須像接入網(wǎng)絡(luò)那樣來對待。如果企業(yè)用戶通過ー個局域網(wǎng)交換中心互相連接,人們就可認(rèn)為他們已經(jīng)成為信任用戶。無論是wep加密還是tkip加密都是以rc4算法為核心，由于rc4算法本身的缺陷,在接入點(diǎn)和客戶端之間以“RC4”方式對分組信息進(jìn)行加密的技術(shù)，密碼很容易被破解。AES是一種對稱的塊加密技術(shù),提供比WEP/TKIP中RC4算法更高的加密性能。對稱密碼系統(tǒng)要求收發(fā)雙方都知道密鑰，而這種系統(tǒng)的最大困難在于如何安全地將密鑰分配給收發(fā)的雙方,特別是在網(wǎng)絡(luò)環(huán)境中,Ui體系使用802.1X認(rèn)證和密鑰協(xié)商機(jī)制來管理密鑰。AES加密算法使用!28bit分組加碼數(shù)據(jù)。它的輸出更具有隨機(jī)性，對!28比特、輪數(shù)為7的密文進(jìn)行攻擊時需要幾乎整個的密碼本,對192、256比特加密的密文進(jìn)行攻擊不僅需要密碼本,還需要知道相關(guān)的但并不知道密鑰的密文,這比WEP具有更高的安全性，攻擊者要獲取大量的密文，耗用很大的資源，花費(fèi)更長的時間破譯。它解密的密碼表和加密的密碼表是分開的，支持子密鑰加密,這種做法優(yōu)于最初的用ー個特殊的密鑰解密，很容易防護(hù)塞攻擊和同步攻擊,加密和解密的速度快，在安全性上優(yōu)于WEPoAES算法支持任意分組的大小,密鑰的大小為128、192、256,可以任意組合。此外,AES還具有應(yīng)用范圍廣、等待時間短、相對容易隱藏、吞吐量高的優(yōu)點(diǎn)。經(jīng)過比較分析,可知此算法在性能等各方面都優(yōu)于WEP和tkip,利用此算法加密,無線局域網(wǎng)的安全性會獲得大幅度提高,從而能夠有效地防御外界攻擊。無線局域網(wǎng)的安全策略當(dāng)我們使用了802.1X、EAP、AES和TKIP之后,還需要了解其中的一些問題,這些是建立安全WLAN網(wǎng)絡(luò)環(huán)境必須的。首先,IEEE802.1li工作小組所建立的TKIP,是為了快速修正WEP的嚴(yán)重問題。TKIP在算法上與WEP相同,也是使用RC4算法,但這種算法并不是最理想的選擇。使用AES能把原來的問題解決得更好，但是AES無法與原有的802.11架構(gòu)兼容,需要升級軟硬件。第二,一些新的協(xié)議、技術(shù)的加入,華三通信技術(shù)有限公司 26與原有802.11混合在ー起,使得整個網(wǎng)絡(luò)結(jié)構(gòu)更加復(fù)雜,同時也增加了處理的負(fù)擔(dān),導(dǎo)致網(wǎng)絡(luò)性能降低。新的技術(shù)讓生產(chǎn)廠商和網(wǎng)絡(luò)用戶有更多的可選擇性,但同時也帶來了兼容性的問題。第三,對于用戶來說,在購買設(shè)備之前,需要了解產(chǎn)品能提供什么樣的功能,有什么樣的兼容性的要求。例如,從公司A購買了AP,然后從公司B和C購買了無線網(wǎng)卡,很可能存在因兼容性導(dǎo)致某些功能無法使用的問題。從企業(yè)角度而言,隨著無線網(wǎng)絡(luò)應(yīng)用的推進(jìn)，企業(yè)需要更加注重?zé)o線網(wǎng)絡(luò)安全的問題，針對不同的用戶需求,提出一系列不同級別的無線安全技術(shù)策略，從傳統(tǒng)的WEP加密到IEEE802.Hi,從MAC地址過濾到IEEE802.lx安全認(rèn)證技術(shù),要分別考慮能滿足單一的家庭用戶、大中型企業(yè)、運(yùn)營商等不同級別的安全需求。對于小型企業(yè)和家庭用戶而言,無線接入用戶數(shù)量比較少,一般沒有專業(yè)的IT管理人員,對網(wǎng)絡(luò)安全性的要求相對較低。通常情況下不會配備專用的認(rèn)證服務(wù)器,這種情況下,可直接采用AP進(jìn)行認(rèn)證，WPA-PSK+接入點(diǎn)隱藏可以保證基本的安全級別。在倉庫物流、醫(yī)院、學(xué)校等環(huán)境中,考慮到網(wǎng)絡(luò)覆蓋范圍以及終端用戶數(shù)量,AP和無線網(wǎng)卡的數(shù)量必將大大增加,同時由于使用的用戶較多,安全隱患也相應(yīng)增加,此時簡單的WPA-PSK已經(jīng)不能滿足此類用戶的需求。如表中所示的中級安全方案使用支持IEEE802.lx認(rèn)證技術(shù)的AP作為無線網(wǎng)絡(luò)的安全核心,并通過后臺的Radius服務(wù)器進(jìn)行用戶身份驗證,有效地阻止未經(jīng)授權(quán)的用戶接入。在各類公共場合以及網(wǎng)絡(luò)運(yùn)營商、大中型企業(yè)、金融機(jī)構(gòu)等環(huán)境中,有些用戶需要在熱點(diǎn)公共地區(qū)（如機(jī)場、咖啡店等）通過無線接入!nternet?因此用戶認(rèn)證問題就顯得至關(guān)重要。如果不能準(zhǔn)確可靠地進(jìn)行用戶認(rèn)證，就有可能造成服務(wù)盜用的問題，這種服務(wù)盜用對于無線接入服務(wù)提供商來說是不可接受的損失,表中專業(yè)級解決方案可以較好地滿足用戶需求,通過用戶隔離技術(shù)、IEEE802.1i、Radius的用戶認(rèn)證以及計費(fèi)方式確保用戶的安全。安全級別典型場合使用技術(shù)初級安全小型企業(yè),家庭用戶等WPA-PSK+接入點(diǎn)隱藏中級安全倉庫物流、醫(yī)院、學(xué)校、餐飲娛樂IEEE802.1X認(rèn)證+TKIP加密專業(yè)級安全各類公共場合及網(wǎng)絡(luò)運(yùn)營商、大中型企業(yè)、金融機(jī)構(gòu)用戶隔離技術(shù)+IEEE802.1H+Radius認(rèn)證和計費(fèi)（對運(yùn)營商）基于硬件的安全防護(hù)我們在核心交換機(jī)上配置防火墻插卡和ips插卡,通過ips設(shè)備的有效防護(hù),不僅可以防蠕蟲病毒的活動,還能防止文件病毒、蠕蟲病毒、宏病毒、木馬、后門等病毒樣本通過網(wǎng)絡(luò)上傳下載進(jìn)行擴(kuò)散,通過深入到7層的分析與檢測,實時阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、DDoS等攻擊和惡意行為,并對分布在網(wǎng)絡(luò)中的各種P2P、IM等非關(guān)鍵業(yè)務(wù)進(jìn)行有效管理,實現(xiàn)對網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)性能的全面保護(hù)。并且通過精細(xì)化帶寬管理,幫助用戶遏制非關(guān)鍵應(yīng)用搶奪寶貴的帶寬和IT資源，從而確保網(wǎng)絡(luò)資源的合理配置和關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量，顯著提高網(wǎng)絡(luò)的整體性能。第五章服務(wù)與培訓(xùn)5.17X24X365服務(wù)保障H3C的服務(wù)總部設(shè)在浙江杭州。H3C深知網(wǎng)絡(luò)穩(wěn)定性對于網(wǎng)絡(luò)通信的重要性,為此建立了遍布全國的服務(wù)機(jī)構(gòu)。除公司總部設(shè)有完備的技術(shù)支援平臺外，我們還在全國建立了31個售后服務(wù)中心,建有完備的技術(shù)支援平臺和備件庫系統(tǒng),通過先進(jìn)的通信技術(shù)與總部的技術(shù)支援平臺連接,完成用戶信息、故障處理流程、備件庫存、產(chǎn)品分布等信息的共享,形成一覆蓋全國地市級城市,專職人員規(guī)模超過!00人的技術(shù)支援體系。同時還在各省市派遣有售后服務(wù)工程師,以提高售后服務(wù)的響應(yīng)速度。H3c技術(shù)支援部本著用戶至上的原則,憑借雄厚的技術(shù)實カ、完善的服務(wù)網(wǎng)絡(luò)、電信級的服務(wù)標(biāo)準(zhǔn)、強(qiáng)大的支持后盾、無可比擬的地域優(yōu)勢及雙方在工作流程上的聯(lián)系,承諾給用戶和合作伙伴提供及時、高效、可靠的服務(wù)。同時，H3C服務(wù)體系已經(jīng)通過TL9000通信服務(wù)國際權(quán)威標(biāo)準(zhǔn)認(rèn)證和IS09000標(biāo)準(zhǔn)認(rèn)證,以保證用戶能得到專業(yè)化、標(biāo)準(zhǔn)化和可量度的售后服務(wù)。H3c技術(shù)支援部由總エ辦、網(wǎng)絡(luò)組、各產(chǎn)品項目組（TSC:技術(shù)支持中心）、代理商服務(wù)管理部,辦事處數(shù)據(jù)通信技術(shù)支持部等部門組成。代理商服務(wù)管理部總エ辦數(shù)據(jù)通信技術(shù)支持部辦事處數(shù)據(jù)通信技術(shù)支持小組總エ辦負(fù)責(zé)與H3c中央研究部的接口。將日常工作中所遇到的用戶的需求和改進(jìn)意見進(jìn)行匯總,提供給開發(fā)部門,在產(chǎn)品中盡早融入用戶的需求。同時,還負(fù)責(zé)網(wǎng)站、資料和技術(shù)支持流程建設(shè)。網(wǎng)絡(luò)組產(chǎn)品專家組的主要工作是對TSC中心、辦事處技術(shù)工程師無法及時定位的疑難問題進(jìn)行處理,保證問題處理的及時性。代理商服務(wù)管理部代理商服務(wù)管理部的工作是制定代理商的售后服務(wù)政策，保證用戶、代理商和H3c的多贏。同時還對代理商的服務(wù)的質(zhì)量進(jìn)行考核，接受和處理用戶對代理商服務(wù)質(zhì)量的投訴。TSC（技術(shù)支持中心）TSC中心主要針對代理商和重要行業(yè)客戶,當(dāng)重要行業(yè)客戶或代理商在出現(xiàn)疑難問題時,可以通過800電話尋求支援。800電話通過CallCenter接入到TSC,TSC對問題進(jìn)行記錄和分類,記錄到問題處理數(shù)據(jù)庫,然后根據(jù)不同的問題分配給不同的技術(shù)人員進(jìn)行處理，技術(shù)人員根據(jù)問題的情況，采用電話遠(yuǎn)程支持、遠(yuǎn)程登錄支持、現(xiàn)場處理等不同的支持方式對代理商或客戶進(jìn)行支持。并對問題的處理形成閉環(huán)。辦事處數(shù)據(jù)通信技術(shù)支持辦事處數(shù)據(jù)通信技術(shù)支持的主要工作是對代理商和重要用戶提供最直接的支持,以及對代理商的培訓(xùn)工作。同時辦事處技術(shù)支持工程師作為代理商服務(wù)管理的延伸,對代理商的售后服務(wù)的能力和質(zhì)量進(jìn)行監(jiān)控,上報的數(shù)據(jù)作為對代理商考核的ー個重要的依據(jù)。通過以上職能部門，H3C公司數(shù)據(jù)通信技術(shù)支持部能夠為用戶和合作伙伴提供如下服務(wù):H3C的TSC中心設(shè)有7X24X365小時的RSC（遠(yuǎn)程支援中心）,提供全天候無間斷的遠(yuǎn)程技術(shù)服務(wù)，可隨時接收故障的反饋和申報，H3c將根據(jù)故障報告內(nèi)容對問題進(jìn)行分級，在規(guī)定的時間內(nèi)對申報的問題進(jìn)行響應(yīng)及解決。H3C數(shù)據(jù)通信技術(shù)支持部在其總部技術(shù)支持中心和全國各辦事處都配備足夠數(shù)量的技術(shù)支持工程師?？筛鶕?jù)用戶申報問題的具體情況對用戶進(jìn)行現(xiàn)場技術(shù)支持。在技術(shù)支持中心設(shè)有資深技術(shù)支持工程師,對重點(diǎn)項目進(jìn)行技術(shù)支持。H3C數(shù)據(jù)通信技術(shù)支持部設(shè)有網(wǎng)上問題處理數(shù)據(jù)庫,可由H3C的任何一位エ程師在接到問題反饋且自身無法直接解答時，將有關(guān)問題通報H3C網(wǎng)上問題處理中心,通過IT平臺將問題提交到相應(yīng)的研發(fā)項目組進(jìn)行處理，確保問題的解決和便于問題的監(jiān)控。H3c的TSC中心在北京建有全系列產(chǎn)品的實驗室,能夠根據(jù)用戶提供的故障現(xiàn)象、組網(wǎng)圖、設(shè)備配置文件等信息,對用戶的網(wǎng)絡(luò)進(jìn)行模擬，定位和解決問題。H3c數(shù)據(jù)通信技術(shù)支持部依托H3c遍布全國一級城市的28個備件庫,能夠提供高效的備件服務(wù)。一旦設(shè)備故障定位是硬件故障，故障模塊或部件可以及時得到更換，使故障設(shè)備恢復(fù)正常運(yùn)行。H3C數(shù)據(jù)通信網(wǎng)站向用戶和合作伙伴提供免費(fèi)的標(biāo)準(zhǔn)軟件服務(wù),一旦設(shè)備故障定位為軟件故障,可以及時從軟件中心上免費(fèi)得到相應(yīng)的軟件,并及時下載故障設(shè)備中,使故障設(shè)備恢復(fù)正常運(yùn)行。H3c設(shè)有專門的資料部門,專門從事產(chǎn)品用戶手冊、安裝手冊和其它技術(shù)資料的組織、編輯和出版。H3C出版的所有手冊、技術(shù)資料均可提供中文的電子文檔和紙面文檔,以方便用戶的使用。H3c認(rèn)證培訓(xùn)體系覆蓋全球，通過國際權(quán)威認(rèn)證機(jī)構(gòu)PROMETRIC開展技術(shù)等級認(rèn)證。目前已經(jīng)正式推出HCNE（H3C認(rèn)證網(wǎng)絡(luò)工程師）和HCSE（H3C認(rèn)證高級網(wǎng)絡(luò)工程師）認(rèn)證培訓(xùn)。H3C與專業(yè)顧問公司合作,引入IPD（集成產(chǎn)品開發(fā)）思想,數(shù)據(jù)通信技術(shù)支持部憑借豐富的客戶服務(wù)經(jīng)驗和對用戶需求的深刻理解,參與IPD產(chǎn)品開發(fā),在產(chǎn)品設(shè)計階段構(gòu)建產(chǎn)品的服務(wù)優(yōu)勢。以IT平臺為支撐，客戶信息、客戶問題信息、網(wǎng)上設(shè)備信息等都得到了有效管理和合理應(yīng)用,有力地保障了業(yè)務(wù)運(yùn)作和面向客戶的服務(wù)。全公司所有技術(shù)和業(yè)務(wù)人員全部實現(xiàn)了電腦聯(lián)網(wǎng)（包括異地聯(lián)網(wǎng)）,通過網(wǎng)上實時查詢系統(tǒng)、網(wǎng)上實時交流平臺等,實現(xiàn)了指令的傳達(dá)、工作討論、技術(shù)及業(yè)務(wù)信息的交流等基本以電子流實現(xiàn),體現(xiàn)了以信息技術(shù)實現(xiàn)管理高效、信息共享、服務(wù)快捷的國際化潮流。故障的申報和處理流程用戶發(fā)現(xiàn)設(shè)備故障T通過熱線電話向華為公司，技術(shù)支持中心申報后合作（題火伴當(dāng)用戶發(fā)現(xiàn)問題后,根據(jù)《設(shè)備驗收報告》中H3c合作的承建方提供的技術(shù)支持熱線電話,向其申報設(shè)備故障排除申請。承建方技術(shù)支持中心根據(jù)用戶提供的信息,按照H3c故障分級標(biāo)準(zhǔn)對故障進(jìn)行分級,并在規(guī)定的時間內(nèi)對用戶的故障進(jìn)行處理。如果通過遠(yuǎn)程方式可以對故障進(jìn)行定位的,則可以對故障進(jìn)行具體的處理直到故障排除。如果無法通過遠(yuǎn)程方式對故障進(jìn)行定位，則承建方的技術(shù)工程師在規(guī)定的時間內(nèi)前往故障現(xiàn)場收集信息、定位和解決問題。承建方工程師在現(xiàn)場仍然無法定位問題時,需要及時將該故障進(jìn)行上報到H3C數(shù)據(jù)通信技術(shù)支持部TSC中心,同時提供用戶的信息和已經(jīng)執(zhí)行的操作和結(jié)果。H3c數(shù)據(jù)通信技術(shù)支持部TSC中心對問題進(jìn)行分析,如果可以通過遠(yuǎn)程方式進(jìn)行處理的，則指導(dǎo)承建方對設(shè)備進(jìn)行必要的操作，收集進(jìn)ー步的信息,并提供最終的解決方案。如果H3C數(shù)據(jù)通信技術(shù)支持部TSC中心無法通過遠(yuǎn)程方式排除故障,則將安排就近的H3C辦事處技術(shù)支持工程師前往現(xiàn)場進(jìn)行進(jìn)ー步的處理。如果在現(xiàn)場仍然無法排除故障,則會立即將該故障通過H3c“網(wǎng)上問題處理”流程反饋到H3c中央研究部,直到故障的最終定位。當(dāng)問題定位后,如果是軟件問題,則通過修改設(shè)備的配置或者是更換設(shè)備的VRP操作系統(tǒng)進(jìn)行處理;如果是硬件問題，則通過備件維修和更換服務(wù)對故障設(shè)備進(jìn)行維修和更換。在設(shè)備的維護(hù)服務(wù)中,H3c和合作伙伴承建方承擔(dān)不同的職責(zé),通過職責(zé)的劃分，有利于對故障處理過程的監(jiān)督。服務(wù)內(nèi)容H3C合作伙伴H3c技術(shù)支持部遠(yuǎn)程支持向用戶提供故障申報的熱線電話。根據(jù)用戶反饋的故障信息、，通過遠(yuǎn)程電話支持方式、遠(yuǎn)程登錄方式對故障進(jìn)行分析和定位。對合作伙伴提供7X24小時熱線電話支持,協(xié)助代理商對故障進(jìn)行分析和定位?，F(xiàn)場支持在規(guī)定的時間內(nèi)前往故障現(xiàn)場,獲取進(jìn)ー步的故障現(xiàn)象。在合作伙伴的配合下對故障進(jìn)行深入的分析,最終定位故障的性質(zhì)軟件升級服務(wù)定位故障為軟件問題后,對故障設(shè)備的VRP操作系統(tǒng)進(jìn)行升級,直到故障排除指導(dǎo)合作伙伴選擇正確的VRP軟件進(jìn)行設(shè)備升級。確保故障的排除。硬件更換通過自身的備件庫對故障設(shè)備進(jìn)行更換和維修。并向H3C備件中心返回故障設(shè)備和申請備件補(bǔ)充。當(dāng)合作伙伴沒有足夠的備件時，向其提供快速的備件支持。同時負(fù)責(zé)合作伙伴故障設(shè)備的更換和維修。維修和更換服務(wù)針對本次項目,H3c及承建方承諾在一年內(nèi)用戶的設(shè)備出現(xiàn)任何硬件故障,均可以得到快捷的維修或更換服務(wù)。H3c根據(jù)產(chǎn)品層次的不同,根據(jù)各地市場容量、物流速度等多方面因素綜合考慮，制定有效的備件策略，保證備件有效及時。當(dāng)用戶的設(shè)備出現(xiàn)硬件故障后,H3C合作伙伴承建方首先利用本身備件庫向用戶提供備件服務(wù)并完成故障件的維修或更換,同時向H3c提出備件維修或更換申請,以便得到及時的備件補(bǔ)充。當(dāng)H3C合作伙伴承建方本身的備件庫無法滿足用戶更換時,承建方可由H3C當(dāng)?shù)剞k事處備件庫得到備件支持，進(jìn)行故障件的維修和更換。如果上述兩個備件庫都無法滿足用戶更換時，可以得到H3C數(shù)據(jù)通信中央備件庫的支持。除此以外H3C還有遍布全國主要城市的28個本地備件庫,對用戶提供高效、快捷的備件服務(wù)。黑龍江新疆z新疆z一?ノ ’、な?遼林內(nèi)蒙古北京中山河北青海甘肅寧夏西山東陜］古山河北青海甘肅寧夏西山東陜］古西河南江蘇四川云南安徽浙江江西福建廣西 廣東海南海南用戶投訴流程如果用戶對H3C合作伙伴的售后服務(wù)不滿意,可以向H3C技術(shù)支持部投訴,H3C技術(shù)支持部將對該投訴進(jìn)行調(diào)查和處理,并將最后的處理結(jié)果報告給用戶和H3c渠道管理部。如果用戶對H3C技術(shù)支持部的售后服務(wù)不滿意，可以直接向H3C渠道營銷干部部投訴，H3c渠道營銷干部部將對該投訴進(jìn)行調(diào)查和處理,并將最后的處理結(jié)果報告給用戶和H3C渠道營銷管理委員會。H3C培訓(xùn)中心一流的師資隊伍、一流的技術(shù)水平、一流的教學(xué)設(shè)備和一流的培訓(xùn)環(huán)境,提供著一流的培訓(xùn)服務(wù)。100多名電信業(yè)的精英教師在這里為用戶提供一流的培訓(xùn)指導(dǎo)。所有的培訓(xùn)項目及培訓(xùn)課程都經(jīng)過精心設(shè)計和專業(yè)開發(fā)，以達(dá)到用戶的最高滿意度;培訓(xùn)內(nèi)容和種類ー應(yīng)俱全,能夠滿足用戶不斷變化的培訓(xùn)需求。裝備完善的培訓(xùn)中心能夠提供當(dāng)今先進(jìn)高效的教學(xué)手段:課堂講座、多媒體教學(xué)、CBT(Computer-basedTraining)及模擬真實環(huán)境的上機(jī)實習(xí);各類機(jī)房和教室裝備有先進(jìn)的測試儀器和H3C最新的設(shè)備;實習(xí)設(shè)備相互連接以模擬現(xiàn)代電信網(wǎng)絡(luò),可同時容納500多名學(xué)員在此接受設(shè)備的運(yùn)維訓(xùn)練。認(rèn)證培訓(xùn)體系【H3c認(rèn)證培訓(xùn)體系】由三部分組成:技術(shù)認(rèn)證培訓(xùn)體系、銷售認(rèn)證培訓(xùn)體系、專項認(rèn)證培訓(xùn)體系。技術(shù)認(rèn)證培訓(xùn)體系由初、中、高三級組成;銷售認(rèn)證培訓(xùn)體系由兩級組成;專項認(rèn)證培訓(xùn)體系由金融網(wǎng)絡(luò)解決方案、H3CVoIP解決方案、H3c網(wǎng)絡(luò)安全解決方案、企業(yè)接入解決方案等組成,并且將根據(jù)技術(shù)和市場的發(fā)展不斷推出滿足用戶需求的專項認(rèn)證。具體培訓(xùn)課程由分布在全國各地的“H3c認(rèn)證網(wǎng)絡(luò)技術(shù)教育中心”提供,認(rèn)證考試由美國專業(yè)考試與認(rèn)證服務(wù)機(jī)構(gòu)Prometric公司代理，考生可以在中國大陸的所有APTC(Prometric授權(quán)考試中心)報名參加考試。

技術(shù)認(rèn)證體系:【H3c認(rèn)證網(wǎng)絡(luò)工程師】(HCNE：HuaweiCertifiedNetworkEngineer)【H3c認(rèn)證高級網(wǎng)絡(luò)工程師】(HCSE：HuaweiCertifiedSeniorNetworkEngineer)【H3c認(rèn)證網(wǎng)絡(luò)互聯(lián)專家】(HCIE：HuaweiCertifiedInternetworkExpert)【H3c認(rèn)證網(wǎng)絡(luò)工程師】(HCNE)主要定位于中小型網(wǎng)絡(luò)的設(shè)計、實施與維護(hù)等方面。由《構(gòu)建中小企業(yè)網(wǎng)絡(luò)》ー門課程組成,該課程包含網(wǎng)絡(luò)基礎(chǔ)、常見接口與電纜、以太網(wǎng)交換機(jī)、路由器原理、TCP/IP/IPX協(xié)議、廣域網(wǎng)協(xié)議、路由協(xié)議、DDR/ISDN、訪問控制列表、備份中心、簡單網(wǎng)絡(luò)故障排除等知識點(diǎn),另外還提供了H3c系列路由器及系列交換機(jī)、網(wǎng)絡(luò)規(guī)劃設(shè)計等知識的介紹。通過相應(yīng)的認(rèn)證考試即可獲得由H3c統(tǒng)ー簽發(fā)的“H3c認(rèn)證網(wǎng)絡(luò)工程師”由協(xié)議、DDR/ISDN、訪問控制列表、備份中心、簡單網(wǎng)絡(luò)故障排除等知識點(diǎn),另外還提供了H3c系列路由器及系列交換機(jī)、網(wǎng)絡(luò)規(guī)劃設(shè)計等知識的介紹。通過相應(yīng)的認(rèn)證考試即可獲得由H3c統(tǒng)ー簽發(fā)的“H3c認(rèn)證網(wǎng)絡(luò)工程師”(HCNE)的證書。推薦的培訓(xùn)推薦的考試構(gòu)建中小企業(yè)網(wǎng)絡(luò)H3C認(rèn)證網(wǎng)絡(luò)工程【H3c認(rèn)證高級網(wǎng)絡(luò)工程師】(HCSE)主要定位于中大型園區(qū)網(wǎng)絡(luò)的配置、維護(hù)及方案設(shè)計。由《構(gòu)建企業(yè)級路由網(wǎng)絡(luò)》、《構(gòu)建企業(yè)級交換網(wǎng)絡(luò)》、《企業(yè)級網(wǎng)絡(luò)方案設(shè)計》三門課程組成。上述三門課程分別覆蓋了路由、交換、VPN、安全特性、QOS、網(wǎng)絡(luò)設(shè)計等全方位的部署園區(qū)網(wǎng)絡(luò)所需的理論及實際設(shè)備配置維護(hù)方面的知識。"H3c認(rèn)證網(wǎng)絡(luò)工程師”在全部通過三門課程所對應(yīng)的考試后可獲得H3c統(tǒng)ー簽發(fā)的“H3c認(rèn)證高級網(wǎng)絡(luò)工程師”證書。推薦的培訓(xùn)推茬的考試構(gòu)建企業(yè)級路由網(wǎng)絡(luò)H3C認(rèn)證網(wǎng)絡(luò)工程師第一步構(gòu)建企業(yè)級交換網(wǎng)絡(luò)企業(yè)級網(wǎng)絡(luò)方案設(shè)計構(gòu)建企業(yè)級交換網(wǎng)絡(luò)企業(yè)級網(wǎng)絡(luò)方案設(shè)計企業(yè)級路由網(wǎng)絡(luò)第二步高級網(wǎng)絡(luò)工程師考企業(yè)級交換網(wǎng)絡(luò)第二歩網(wǎng)絡(luò)方案設(shè)計【H3c認(rèn)證網(wǎng)絡(luò)互聯(lián)專家】(HCIE)主要定位于行業(yè)及運(yùn)營級網(wǎng)絡(luò)的設(shè)計、實施與維護(hù)。課程主要涉及MPLS/ATM/SDH/POS等運(yùn)營級網(wǎng)絡(luò)知識。培訓(xùn)均為單項課程,學(xué)員可以采用自學(xué)并結(jié)合難點(diǎn)科目培訓(xùn)方式進(jìn)行學(xué)習(xí)?！盚3c認(rèn)證網(wǎng)絡(luò)互聯(lián)專家”的認(rèn)證考試側(cè)重于實際的運(yùn)營方案設(shè)計和相應(yīng)設(shè)備配置、維護(hù)能力的考

核?！癏3c認(rèn)證高級網(wǎng)絡(luò)工程師”在通過“H3c運(yùn)營網(wǎng)絡(luò)”考試后即可參加由H3c統(tǒng)ー組織的實踐考試。實踐考試通過后即可獲得由H3c統(tǒng)ー簽發(fā)的“H3c認(rèn)證網(wǎng)絡(luò)互聯(lián)專家”證書。推薦的培訓(xùn)推薦的考試推薦的培訓(xùn)MPLS原理及應(yīng)用MPLS原理及應(yīng)用H3C認(rèn)證高級網(wǎng)絡(luò)工程師ATM原理及應(yīng)用SDH/POS原理及應(yīng)用SDH/POS原理及應(yīng)用銷售認(rèn)證體系:【H3c認(rèn)證銷售工程師】(HSE：HuaweiCertifiedSalesEngineer)【H3c認(rèn)證銷售專家】(HSP：HuaweiCertifiedSalesProfessional)H3C認(rèn)證銷售專家H3C認(rèn)證銷售工程師【H3c認(rèn)證銷售工程師】（HSE）主要定位于企業(yè)級網(wǎng)絡(luò)產(chǎn)品的銷售人員,內(nèi)容包括網(wǎng)絡(luò)基礎(chǔ)知識、常見網(wǎng)絡(luò)接口與線纜、H3c中低端路由器、以太網(wǎng)交換機(jī)介紹、H3c通用路由平臺VRP、高端路由器介紹、Refiner產(chǎn)品介紹、iManager網(wǎng)管。在通過ー門對應(yīng)的考試后可獲得H3c統(tǒng)ー簽發(fā)的“H3c認(rèn)證銷售工程師”證書?！綡3c認(rèn)證銷售專家】（HSP）主要定位于行業(yè)及電信營運(yùn)級網(wǎng)絡(luò)產(chǎn)品的銷售人員,內(nèi)容包括行業(yè)分析、網(wǎng)絡(luò)層次劃分及設(shè)備特征、網(wǎng)絡(luò)方案分析及規(guī)劃、H3c網(wǎng)絡(luò)解決方案及產(chǎn)品集成以及營銷策略等內(nèi)容。在通過ー門對應(yīng)的考試后可獲得H3c統(tǒng)ー簽發(fā)的“H3c認(rèn)證銷售專家”證書。專項認(rèn)證培訓(xùn)課程介紹:【H3CVoIP解決方案】課程涵蓋語音路由器,Refineri.5等H3CVoIP解決方案【H3c金融網(wǎng)絡(luò)解決方案】課程闡述了全方位的金融網(wǎng)絡(luò)解決方案,包括SNA,啞終端等【H3c企業(yè)接入解決方案】課程涵蓋H3c企業(yè)接入路由器、接入服務(wù)器Refiner2.0等方面的知識【H3c網(wǎng)絡(luò)安全解決方案】課程闡述了H3c關(guān)于網(wǎng)絡(luò)安全的全面解決方案H3c認(rèn)證專項培訓(xùn)H3CVOIPH3c認(rèn)證專項培訓(xùn)H3CVOIP解決方案為了滿足不同用戶不同層次的培訓(xùn)需求,培訓(xùn)中心采用當(dāng)?shù)丶信嘤?xùn)以及現(xiàn)場培訓(xùn)相結(jié)合的三級培訓(xùn)體系。當(dāng)?shù)丶信嘤?xùn)是在客戶認(rèn)為方便的地方進(jìn)行的培訓(xùn)I,培訓(xùn)課程應(yīng)客戶需求設(shè)計,具有較強(qiáng)的針對性和時效性?，F(xiàn)場培訓(xùn)是在工程安裝階段以及日常維護(hù)時，在安裝維護(hù)現(xiàn)場進(jìn)行的培訓(xùn)I，內(nèi)容實用且針對性強(qiáng);華三通信技術(shù)有限公司 40為及時經(jīng)濟(jì)地滿足用戶持續(xù)增長的培訓(xùn)需求,H3c培訓(xùn)在中國如浙江、北京、上海、廣州、南京、昆明等地以及全球范圍建有多個授權(quán)培訓(xùn)分部進(jìn)行部分產(chǎn)品及課程的培訓(xùn)。授權(quán)分部的培訓(xùn)與總部模式一致,在培訓(xùn)質(zhì)量上均有強(qiáng)有力的保證措施。附:產(chǎn)品資料H3CS7500E系列高端多業(yè)務(wù)路由交換機(jī)H3CS7500E系列產(chǎn)品是杭州華三通信技術(shù)有限公司（以下簡稱H3C公司）面向融合業(yè)務(wù)網(wǎng)絡(luò)推出的新一代高端多業(yè)務(wù)路由交換機(jī),該產(chǎn)品基于H3c自主知識產(chǎn)權(quán)的ComwareV5操作系統(tǒng),融合了MPLS、IPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù),在提高用戶生產(chǎn)效率的同時，保證了網(wǎng)絡(luò)最大正常運(yùn)行時間,從而降低了客戶的總擁有成本（TCO）oH3cs7500E符合“限制電子設(shè)備有害物質(zhì)標(biāo)準(zhǔn)（RoHS）”,是綠色環(huán)保的路由交換機(jī)。H3cs7500E系列包括S7510E（12槽）、S7506E（8槽）、S7506E-V（垂直8槽）、S7503E（5槽）、7503E-S（3槽）和S7502E（4槽）6款產(chǎn)品,除了7503E-S所有產(chǎn)品均支持冗余主控。H3cs7500E可廣泛應(yīng)用于城域網(wǎng)匯聚和邊緣、園區(qū)網(wǎng)核心和匯聚以及配線間等多種網(wǎng)絡(luò)環(huán)境,為用戶提供了有線無線一體化、有源無源一體化的行業(yè)解決方案。產(chǎn)品特點(diǎn)■豐富的業(yè)務(wù),適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢基于IRF2(第二代智能彈性架構(gòu))技術(shù)的虛擬化架構(gòu)H3cs7500E面向數(shù)據(jù)中心技術(shù)的演進(jìn),推出了IRF2為代表的軟件虛擬化技術(shù),提供多臺主機(jī)的協(xié)同工作、統(tǒng)一管理和不間斷維護(hù)功能;IRF2不僅成為數(shù)據(jù)中心交換設(shè)備高性能、虛擬化的關(guān)鍵技術(shù),而且對于傳統(tǒng)企業(yè)網(wǎng)應(yīng)用,IRF2所提供的高可靠性和無縫升級、擴(kuò)展能力,也成為H3c用戶增值服務(wù)的重要組成部分。全面的MPLS、VPLS業(yè)務(wù)能力H3CS7500E所有產(chǎn)品均支持Multi-VRF特性，可以作為MCE設(shè)備使用;支持三層的MPLSVPN和二層的MPLSVPN(Martini、Kompella)；支持MPLSOAM特性,方便用戶的管理和維護(hù);與H3CMPLSVPNManager配合,實現(xiàn)圖形化的MPLS部署與維護(hù)。全面支持VPLS,VLL,支持1KVPLS實例，4KVLL,還支持分層VPLS以及QINQ+VPLS接入方式,提供端到端2層VPN接入方案,支持